Решена народ, помогите с вирусом realtek HD

DiFFerRent

Новый пользователь
Сообщения
11
Реакции
0
народ, помогите с полным удалением вируса realtek HD, сейчас его нет, но в programData зайти не дает - сразу выкидывает, в process hacker тоже, но если отключить unsecapp - всё становится нормально (я полный 0 в этом, поэтому надеюсь, что поможете)
 
Скачайте, распакуйте и запустите в безопасном режиме с поддержкой сети (от имени администратора) AV block remover или с зеркала
По окончании всех процедур произойдет перезагрузка системы. Прикрепите созданный утилитой лог AV_block_remove.log к следующему сообщению.

Если не запускается, то переименуйте ее (например в AV_b_r.exe) или воспользуйтесь версией с случайным именем файла
 
вроде все сделал как надо, готово
 

Вложения

  • AV_block_remove_2023.05.28-20.54.log
    9 KB · Просмотры: 3
Теперь посмотрим, что осталось
 
Да, пройти по ссылке, прочесть и подготовить логи.
 
готово
 

Вложения

  • CollectionLog-2023.05.28-22.09.zip
    94 KB · Просмотры: 3
  • report1.log
    827 байт · Просмотры: 3
  • report2.log
    2.8 KB · Просмотры: 2
Как и думал, есть еще над чем поработать, много поработать.

- Перетащите лог Check_Browsers_LNK.log на утилиту ClearLNK. Отчёт о работе прикрепите.

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ из папки Autologger (Файл - Выполнить скрипт):
Код:
  begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Program Files (x86)\izACJBnbNDehC\erqDhmE.dll', '');
 QuarantineFile('C:\Program Files (x86)\OawdtYVZRIWObRpdfxR\bxASUyK.dll', '');
 QuarantineFile('C:\Program Files (x86)\UqTwBgDtGSzU2\MqVlsudCRcbkC.dll', '');
 QuarantineFile('C:\Program Files (x86)\YUZBIsHfU\qluCck.dll', '');
 QuarantineFile('C:\ProgramData\sgfZORgZcDZcHzVB\SXvkwWU.wsf^', '');
 DeleteFile('C:\Program Files (x86)\izACJBnbNDehC\erqDhmE.dll', '64');
 DeleteFile('C:\Program Files (x86)\OawdtYVZRIWObRpdfxR\bxASUyK.dll', '64');
 DeleteFile('C:\Program Files (x86)\UqTwBgDtGSzU2\MqVlsudCRcbkC.dll', '64');
 DeleteFile('C:\Program Files (x86)\YUZBIsHfU\qluCck.dll', '64');
 DeleteFile('C:\ProgramData\sgfZORgZcDZcHzVB\SXvkwWU.wsf^', '64');
 DeleteSchedulerTask('CmatoOjeOVwOtN');
 DeleteSchedulerTask('dzCSQuGXJdROA2');
 DeleteSchedulerTask('JqpzotDuOzihqwGNsSc2');
 DeleteSchedulerTask('JxDTAeSDsEmENoF2');
 DeleteSchedulerTask('QacAtYLWpczjxzoKE2');
 DeleteFileMask('C:\Program Files (x86)\izACJBnbNDehC', '*.*', true);
 DeleteFileMask('C:\Program Files (x86)\OawdtYVZRIWObRpdfxR', '*.*', true);
 DeleteFileMask('C:\Program Files (x86)\UqTwBgDtGSzU2', '*.*', true);
 DeleteFileMask('C:\Program Files (x86)\YUZBIsHfU', '*.*', true);
 DeleteFileMask('C:\ProgramData\sgfZORgZcDZcHzVB', '*.*', true);
 DeleteDirectory('C:\Program Files (x86)\izACJBnbNDehC');
 DeleteDirectory('C:\Program Files (x86)\OawdtYVZRIWObRpdfxR');
 DeleteDirectory('C:\Program Files (x86)\UqTwBgDtGSzU2');
 DeleteDirectory('C:\Program Files (x86)\YUZBIsHfU');
 DeleteDirectory('C:\ProgramData\sgfZORgZcDZcHzVB');
BC_ImportALL;
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

Код:
begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
end.

Файл quarantine.7z из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):
Код:
R3 - HKCU\..\URLSearchHooks: (no name) - {C9423817-5DA7-494E-87E4-111F1B49A1FD} - (no file)
O2 - HKLM\..\BHO: (no name) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - (no file)
O2 - HKLM\..\BHO: (no name) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - (no file)
R4 - SearchScopes: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{993F5746-4C15-42BC-99C1-064A1764271B}: [SuggestionsURL,TopResultURL] = https://defaultsearch.co?q={searchTerms} - DefaultSearchYahoo
R4 - SearchScopes: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{993F5746-4C15-42BC-99C1-064A1764271B}: [URL] = https://securesearch.org?q={searchTerms} - DefaultSearchYahoo
R4 - SearchScopes: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\44ddd402-8e14-11ea-b749-00d8619d66ec: [SuggestionsURL,SuggestionsURLFallback] = https://ie.search.yahoo.com/os?appid=ie8&command={searchTerms} - CDNSearch
R4 - SearchScopes: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\44ddd402-8e14-11ea-b749-00d8619d66ec: [URL] = http://search-cdn.net/fip/?q={searchTerms} - CDNSearch
O4 - HKCU\..\Run: [RuntimeBroker] = C:\ProgramData\RuntimeBroker\RuntimeBroker.exe (file missing)
O4 - HKCU\..\StartupApproved\Run: [Gaijin.Net Updater] = C:\Users\Semen\AppData\Local\Gaijin\Program Files (x86)\NetAgent\gjagent.exe (file missing) (2021/05/04)
O4 - HKCU\..\StartupApproved\Run: [Spotify] = C:\Users\Semen\AppData\Roaming\Spotify\Spotify.exe --autostart --minimized (file missing) (2022/01/08)
O7 - Policy: HKLM\Software\Microsoft\Windows Defender: [DisableAntiSpyware] = 1
O7 - Policy: HKLM\Software\Microsoft\Windows Defender: [DisableAntiVirus] = 1
O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Features: [TamperProtection] = 4
O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Real-Time Protection: [DisableRealtimeMonitoring] = 1
O22 - Tasks: (disabled) ElementsBrowser Update - C:\Users\Semen\AppData\Local\Elements Browser\Application\elementsbrowserupdate.exe (file missing)
O22 - Tasks: (disabled) Process Lasso Core Engine Only - D:\Process Lasso\processgovernor.exe (file missing)
O22 - Tasks: (disabled) Process Lasso Management Console (GUI) - D:\Process Lasso\processlasso.exe (file missing)
O22 - Tasks: (disabled) YSLogonUpdate - C:\Program Files (x86)\YandexSovetnik\checkupd.exe (file missing)
O22 - Tasks: (disabled) YSPeriodicUpdate - C:\Program Files (x86)\YandexSovetnik\checkupd.exe (file missing)

  • Скачайте AdwCleaner и сохраните его на Рабочем столе.
  • Запустите его через правую кн. мыши от имени администратора, нажмите кнопку "Scan Now" ("Запустить проверку") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Sxx].txt.
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.
 
первое готово
 

Вложения

  • ClearLNK-2023.05.28_23.01.43.log
    24.3 KB · Просмотры: 1
Снимок экрана (521).png

второе готово
 
последнее готово
 

Вложения

  • AdwCleaner[S00].txt
    9.2 KB · Просмотры: 1
  • Запустите повторно AdwCleaner через правую кн. мыши от имени администратора.
  • В меню Настройки отметьте:
    • Сброс политик IE
    • Сброс политик Chrome
  • Нажмите кнопку "Scan Now" ("Запустить проверку"), а По окончании сканирования нажмите кнопку "Quarantine" ("Карантин") и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Cxx].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению.
  • (Обратите внимание - C и S - это разные буквы).
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Подробнее читайте в этом руководстве.

После проверяйте как работает система.
 
готово
 

Вложения

  • AdwCleaner[C01].txt
    7.9 KB · Просмотры: 1
всё вроде как работает, спасибо
это всё? или еще что то нужно?
 
Нет, будем завершать
Подготовьте лог лог SecurityCheck by glax24


Запустите AdwCleaner. В меню Параметры прокрутите вниз и выберите Удалить.

-----------------

Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:
  1. Запустите AVZ.
  2. Запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины).
  3. В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт №8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
  4. Закачайте полученный архив, как описано на этой странице.
  5. Если размер архива превышает 250 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: Яндекс.Диск, Zippyshare, My-Files.RU, karelia.ru, Ge.tt или WebFile) и укажите ссылку на скачивание в своём следующем сообщении.
 
всё готово, что-то ещё?
 

Вложения

  • SecurityCheck.txt
    18.3 KB · Просмотры: 1
Исправьте по возможности и удачи.
------------------------------ [ ArchAndFM ] ------------------------------
7-Zip 21.07 (x64) v.21.07 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
-------------------------- [ IMAndCollaborate ] ---------------------------
Discord v.1.0.9003 Внимание! Скачать обновления
WhatsApp v.2.2112.10 Внимание! Скачать обновления
------------------------------- [ Browser ] -------------------------------
Google Chrome, версия 2.7.29 v.2.7.29 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О браузере Google Chrome!^
Opera Stable 82.0.4227.32 v.82.0.4227.32 Внимание! Скачать обновления
^Проверьте обновления через меню Обновление и восстановление!^
Opera Stable 90.0.4480.80 v.90.0.4480.80 Внимание! Скачать обновления
^Проверьте обновления через меню Обновление и восстановление!^
Opera Stable 91.0.4516.65 v.91.0.4516.65 Внимание! Скачать обновления
^Проверьте обновления через меню Обновление и восстановление!^
Opera Stable 93.0.4585.11 v.93.0.4585.11 Внимание! Скачать обновления
^Проверьте обновления через меню Обновление и восстановление!^
Opera Stable 94.0.4606.38 v.94.0.4606.38 Внимание! Скачать обновления
^Проверьте обновления через меню Обновление и восстановление!^
Opera Stable 97.0.4719.43 v.97.0.4719.43 Внимание! Скачать обновления
^Проверьте обновления через меню Обновление и восстановление!^
Opera GX Stable 73.0.3856.415 v.73.0.3856.415 Внимание! Скачать обновления
^Проверьте обновления через меню О программе!^
Opera Stable 44.0.2510.1218 v.44.0.2510.1218 Внимание! Скачать обновления
^Проверьте обновления через меню Обновление и восстановление!^
Opera Stable 81.0.4196.60 v.81.0.4196.60 Внимание! Скачать обновления
^Проверьте обновления через меню Обновление и восстановление!^
Yandex (All Users) v.23.3.4.603 Внимание! Скачать обновления
^Проверьте обновления через меню Дополнительно - О браузере Yandex!^
 
Назад
Сверху Снизу